Martes 7 Mayo 2013
Falsos mitos sobre la seguridad y legalidad de la nube de Google para abogados
nubbius tiene un coste inferior a los programas tradicionales de gestión para abogados, facilita enormemente el trabajo en el despacho y ayuda a ser más eficiente. Sin embargo, muchos abogados aún no se atreven a utilizar la nube de Google Apps (integrada con nubbius) ya que les han hecho creer que no es lo suficientemente segura e incluso dudan de su legalidad, para almacenar datos de sus expedientes. Es comprensible: cuando se trata de su despacho y la información de sus clientes, un abogado no debe correr ningún riesgo. Existen muchos mitos sobre la nube de Google Apps. Merece la pena desmontar algunos:
Primer Mito: Cuando un abogado guarda datos en Google Apps, Google se convierte en su propietario y puede venderlos en cualquier momento.
Realidad: Un despacho de abogados es en todo momento el único propietario de la información depositada en Google Apps (al contrario que ocurre con otras nubes como la desaparecida y "pirata" Megaupload), y por ello, el único responsable del contenido, gestión, y la posible revelación de la información. Google no puede compartir los datos del abogado con otras personas, ni vender ningún tipo de información personal con la que se pueda le pueda identificar. No todas las nubes son iguales ni ofrecen la misma seguridad para sus usuarios.
Segundo Mito: La información que está en Internet, es más vulnerable a los piratas informáticos
Realidad: Los datos guardados en la nube están más seguros que en tu propio despacho de abogados. Google se encarga de proteger los datos cuando transitan por Internet mediante la encriptación SSL. Los sistemas de administración y seguridad de Google Apps han superado una auditoría ISAE 3402 tipo II, llevada a cabo por auditores independientes (Ernst & Young) y posee la certificación ISO 27001, que garantiza los más altos niveles estándares de la seguridad y la gestión de la información tratada en Google Apps. Todo ello sin olvidar el sistema de verificación en dos pasos que hace prácticamente imposible el acceso no autorizado a una cuenta de Google.
Tercer Mito: Si un despacho de abogados decide dejar de utilizar la nube de Google, perderá todos los datos
Realidad: Un abogado o despacho de abogados puede exportar los datos donde y cuando quiera. Si algún día un despacho de abogados decide abandonar este sistema de almacenamiento de información, existen diferentes herramientas para ayudarte a exportar los documentos, el correo electrónico, las agendas, y los contactos.
Cuarto Mito: Un abogado no puede usar la nube de Google porque sus datos quedan almacenados fuera de la Unión Europea.
Realidad: Google es miembro del Programa Safe Harbor entre Estados Unidos y la Unión Europea. Dicho programa garantiza que las empresas o filiales europeas puedan transferir datos personales a empresas Estadounidenses cumpliendo rigurosamente la normativa europea referente a la protección de datos. En el caso de la nube de Google, los datos de su despachos se encuentran en más de un centro de datos de Google, para prevenir la pérdida de los datos ante cualquier tipo de catástrofe. En recientes catástrofes naturales se ha visto la importancia de tener los datos replicados en la nube, y Google va un paso más allá replicando la información entre sus centros de datos.
Quinto Mito: Google puede leer el correo electrónico y los documentos de un despacho de abogados que usa Google Apps
Realidad: Google no puede acceder a la información almacenada en la cuenta de un abogado sin su consentimiento previo. Esto sólo ocurrirá en casos excepcionales,como requerimientos legales, detallados claramente en la política de privacidad de Google.
Sexto Mito: Los sistemas de almacenamiento de información de la mayoría de los despachos de abogados son suficientemente seguros
Realidad: Diferentes estudios y nuestra propia experiencia muestran que la mayoría de abogados sobreestima su nivel actual de seguridad, pues no disponen de copias de seguridad recientes, ni las almacenan en otros lugares ni cuentan con hardware redundante. Con nubbius, se generan de forma automática copias de seguridad en los centros de datos de Google, lo cual ayuda a protegerlos contra posibles accidentes, pérdidas e incluso robos. Además, en caso de fallo, Google cuenta con un plan de recuperación de datos, robusto e integrado, mucho más fiable que cualquier hardware que puedas utilizar en tu despacho. Todos recordamos el incendio del edificio Windsor en Madrid, con las catastróficas consecuencias de acceso e incluso pérdida de información para uno de los principales despachos de abogados de España. Se podría haber evitado con un sistema de almacenamiento de datos en la nube como el que utiliza Google, pero en el 2005 la nube era sólo una idea. Hoy, la nube es una solución que pueden usar despachos unipersonales, pequeños, medianos y las grandes firmas.
Séptimo mito (y no por último, el menos importante): La nube de Google no cumple la normativa de protección de datos para su uso profesional por abogados.
Realidad: Cuando un abogado usa la nube de Google (Google Apps for Business) para el almacenamiento de datos profesionales, desde el punto de vista de la Protección de Datos, Google es el encargado del tratamiento (procesador), siendo el abogado, el despacho o sociedad profesional el responsable del fichero y quién decide sobre la finalidad, contenido y uso del tratamiento. Por lo tanto, resulta necesario formalizar con Google un contrato en el que éste, como encargado del tratamiento, asuma los compromisos estipulados por el art. 12 de la LOPD, especialmente en lo referente a la implementación de las medidas de seguridad exigidas por la legislación española, al compromiso de no utilizar los datos para otras finalidades distintas de la prestación del servicio contratado y la localización de la nube dentro de la Unión Europea o en país con nivel equiparable de protección.
El contrato que el abogado formaliza con Google Ireland Limited, son los términos y condiciones que se aceptan cuando se empieza a utilizar Google Apps for Business, en las que en el apartado 2 se establece expresamente que Google Ireland Limited (procesador, encargado del tratamiento) únicamente tratará los datos conforme a las instrucciones del abogado, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Además Google Apps como proveedor de servicios en la nube, ofrece a sus clientes unas cláusulas en las que como encargado del tratamiento asume los compromisos estipulados por el art. 12 de la LOPD, especialmente en lo referente a la implementación de las medidas de seguridad exigidas por la legislación europea, y concretamente la española.
Respecto a las medidas de seguridad, en la cláusula 2.5 Google Ireland Limited se compromete a aplicar las medidas técnicas y organizativas que correspondan. Estas médidas técnicas y organizativas están explicadas en el documento público de Google adjunto, donde se explica cómo Google gestiona una plataforma basada en la seguridad para dar el servicio de Google Apps. En el documento adjunto se revisa la seguridad de los datos, física y de las operaciones. Podemos ver como la seguridad es un elemento esencial en la nube de Google, además de ser un principio de diseño en todos los procesos de Google. Si quieres conocer los detalles de la seguridad de alto nivel de los centros de datos de Google, puedes leer este documento.
Respecto a la localización de la nube dentro de la unión Europea, el acuerdo se celebra con Google Ireland Limited, una sociedad constituida conforme a las leyes de Irlanda y el marco normativo de la Unión Europea. Además en las cláusulas 2.9 y 2.10, Google manifiesta que está adherido al programa Safe Harbour, del que ya hemos hablado en el cuarto mito. Si estas cláusulas no fueran suficientes, Google Apps permite adherirte, cumplimentar las cláusulas del contrato modelo de la UE para la trasferencia internacional de datos.
Por lo tanto, se puede concluir que el uso de Google Apps for Business (la nube de Google) por parte de un abogado o despachos de abogados cumple la normativa de protección de datos.